Согласно документы, добавление UseHsts () в конфигурацию активирует промежуточное ПО для заголовка, связанного с STS.

Я никогда до конца не понимал сути этого. Означает ли это не что иное, как простое добавление заголовка к каждому запросу, выполняемому приложением? Что может пойти не так, если я не буду использовать этот заголовок?

Кроме того, я заметил, что когда я пытаюсь найти Core 2.2 (ссылка выше), меня перенаправляют на Core 2.1 с замечанием, что UseHsts () отсутствует в предыдущей версии. Означает ли это, что он устарел или использует значение по умолчанию, скрывающее магию?

-2
Konrad Viltersten 1 Янв 2019 в 18:57

2 ответа

Лучший ответ

HTTP Strict Transport Security (HSTS) позволяет сайту запрашивать, чтобы с ним всегда связывались по HTTPS. HSTS поддерживается в Google Chrome, Firefox, Safari, Opera, Edge и IE.

Ссылка https://www.chromium.org/hsts

HTTP Strict Transport Security (HSTS) - это механизм политики веб-безопасности, который помогает защитить веб-сайты от атак, связанных с переходом на более раннюю версию протокола и захватом файлов cookie. Он позволяет веб-серверам объявлять, что веб-браузеры (или другие соответствующие пользовательские агенты) должны взаимодействовать с ним, используя только безопасные HTTPS-соединения, 1 и никогда по небезопасному протоколу HTTP. HSTS - это протокол отслеживания стандартов IETF, указанный в RFC 6797.

3
Derviş Kayımbaşıoğlu 1 Янв 2019 в 18:13

Если вы используете TLS, вы должны включить этот флаг. Примечание: убедитесь, что вы не включили его на localhost (если вы не используете TLS на localhost). Вы не сможете загрузить сайт. Вам нужно будет сделать недействительным кеш в вашем браузере.

2
distrupt 1 Янв 2019 в 19:45